Práctica ciberseguridad grado derecho y criminología CEU

  En esta primera actividad, hemos aprendido a verificar la seguridad de un archivo mediante una herramienta online muy conocida: VirusTotal . Este servicio permite analizar ficheros, URLs e incluso direcciones IP para comprobar si están asociados con malware o amenazas conocidas . VirusTotal es una plataforma gratuita que analiza archivos utilizando más de 70 motores antivirus y servicios de detección de malware. Cuando subimos un archivo, la herramienta compara su huella digital (hash) con bases de datos de amenazas, mostrando si algún antivirus lo considera peligroso. Proceso  Accedimos al sitio web oficial de VirusTotal. Seleccionamos la opción de subir un archivo. Elegimos un archivo o URL del equipo. Esperamos a que el análisis se completara. Observamos los resultados proporcionados por los distintos motores de antivirus.  Resultado del análisis A continuación, se muestra la captura de pantalla con el resultado obtenido tras subir el archivo: ...

  Dominio seleccionado: Control de accesos La gestión del control de accesos es una de las piedras angulares de cualquier sistema de seguridad de la información. En el estándar ISO/IEC 27002:2013, este dominio comprende un conjunto de medidas que permiten asegurar que solo las personas autorizadas tengan acceso a la información, a los sistemas y a los recursos. Se trata de evitar accesos no autorizados, tanto internos como externos, mediante medidas técnicas, administrativas y físicas.  Medidas concretas del dominio de Control de accesos: El dominio contiene 14 controles que se agrupan en los siguientes aspectos clave: Política de control de accesos (9.1) Define las normas y directrices que regulan quién puede acceder a qué información o sistemas, y bajo qué condiciones. Gestión de acceso de usuarios (9.2) Registro y eliminación de usuarios. Asignación de derechos mínimos (principio de menor privilegio). Revisiones periódicas de privilegios. Responsab...

 Evaluación de riesgos del dominio de seguridad de recursos humanos  Subdominio / Control Nivel amenaza (0-10) Probabilidad (0-1) Riesgo cubierto Selección de personal 6 0.5 3.0 Términos contractuales claros 5 0.4 2.0 Formación en seguridad 8 0.7 5.6 Responsabilidades post-empleo 6 0.5 3.0 Supervisión de empleados 7 0.6 4.2 Gestión de incumplimientos 9 0.8 7.2 Este dominio es fundamental para prevenir riesgos internos derivados del factor humano. Formar, supervisar y establecer responsabilidades claras es esencial para una buena política de seguridad.

 Resumen del número de controles por dominio según ISO/IEC 27002:2013 Dominio Número de medidas Políticas de seguridad 2 Organización de la seguridad 7 Seguridad de RR. HH. 6 Gestión de activos 10 Control de accesos 14 Criptografía 2 Seguridad física y ambiental 15 Seguridad en operaciones 14 Seguridad en comunicaciones 7 Adquisición, desarrollo y mantenimiento 13 Relación con proveedores 5 Gestión de incidentes 7 Aspectos legales 8 Mejora del SGSI 4

 SIMULACIÓN CON DATOS IMAGINARIOS Dominio Ponderación (%) Nivel de amenaza (0-10) Probabilidad (0-1) Riesgo cubierto (A × P) Políticas de seguridad 10% 6 0.7 4.2 Organización de la seguridad de la información 8% 7 0.6 4.2 Seguridad ligada a RR. HH. 7% 6 0.5 3.0 Gestión de activos 9% 8 0.6 4.8 Control de accesos 10% 9 0.8 7.2 Criptografía 6% 7 0.5 3.5 Seguridad física y ambiental 6% 6 0.4 2.4 Seguridad en operaciones 8% 7 0.6 4.2 Seguridad en comunicaciones 6% 7 0.7 4.9 Adquisición, desarrollo y mantenimiento 5% 6 0.4 2.4 Relación con proveedores 5% 5 0.3 1.5 Gestión de incidentes 5% 8 0.6 4.8 Aspectos legales y cumplimiento 7% 7 0.5 3.5 Mejora continua del SGSI 8% 6 0.6 3.6

 La norma ISO/IEC 27002 establece buenas prácticas para la gestión de la seguridad de la información. La evolución entre las versiones de 2005 y 2013 responde a una necesidad de adaptación a los nuevos retos digitales. Aspecto ISO/IEC 27002:2005 ISO/IEC 27002:2013 Enfoque general Técnico y menos estructurado Más completo y alineado con ISO/IEC 27001 Controles 133 controles en 11 dominios 114 controles en 14 dominios Dominios Más generales Se introducen nuevos (como proveedores) Gestión de riesgos Implícita Explícita y central Redacción Más técnica y genérica Más clara y orientada a la gestión La versión de 2013 proporciona una guía más práctica, detallada y adaptada a los riesgos actuales. Es más útil para su aplicación en entornos reales.

 ESCALA DE RIESGO ESTIMADO (BAJO 1 , MEDIO 2 , ALTO 3 ) Amenaza / Activo Ordenador portátil Smartphone personal Router Wi-Fi Cuentas email Documentos nube Impresora Antivirus Robo o pérdida física 3 3 2 1 1 2 1 Acceso no autorizado 2 3 3 3 3 2 1 Virus o malware 2 3 3 2 2 1 3 Fallo de hardware 3 2 2 1 1 2 1 Fuga de información 2 3 3 3 3 1 2 Corte de energía 1 1 2 1 1 1 1 Tarea / Semana Semana 1 Semana 2 Semana 3 Semana 4 1. Definición del alcance del sistema ✅ 2. Inventario de activos ✅ ✅ 3. Análisis de riesgos (identificación y valoración) ✅ ✅ 4. Redacción de la política de seguridad ✅ ✅ 5. Selección de medidas de control (ISO 27002) ✅ ✅ 6. Implementación de controles básicos ✅ 7. Redacción del informe final y publicación ✅ Observaciones Semana 1: se centra en identificar qué parte del hogar se incluirá y comenzar el inventario. Semana 2: se ...

He seleccionado el control A.9.2.3 – Gestión de derechos de acceso de los usuarios de la norma ISO/IEC 27002:2013, que establece que los usuarios solo deben tener acceso a la información que necesitan, y nada más.  Aplicación doméstica del control A.9.2.3 En el entorno de mi casa, esto se puede aplicar de la siguiente manera: Gestión de contraseñas separadas para cada cuenta de usuario en el ordenador y en servicios online. Creación de cuentas restringidas para visitas o invitados en la red Wi-Fi (red para invitados). Control de accesos físicos : no dejar dispositivos desbloqueados o accesibles para personas ajenas al hogar. Revisión periódica de accesos : comprobar si alguna cuenta ha sido comprometida o accedida desde ubicaciones extrañas.  Reflexión Esta medida es perfectamente aplicable al entorno familiar. A veces confiamos demasiado y compartimos dispositivos o redes sin ningún tipo de filtro. Implementar el principio de mínimo privilegio , incluso e...

 Tras haber delimitado el alcance de la política a toda la vivienda, he realizado un inventario de los principales activos digitales y tecnológicos que utilizo con frecuencia. Aunque los datos personales se omiten por privacidad, la idea es comprender qué tipo de activos existen y cómo clasificarlos. Tipos de activos identificados: Activo Tipo Función principal Ordenador portátil Hardware Trabajo académico, navegación, almacenamiento Smartphone personal Hardware Comunicación, aplicaciones bancarias y sociales Router Wi-Fi Infraestructura Conectividad y acceso a red doméstica Cuentas de correo electrónico Información Comunicación personal y académica Documentos en la nube Información Almacenamiento de archivos sensibles y educativos Impresora multifunción Hardware Copias físicas, digitalización de documentos Software antivirus Software Protección contra malware y accesos no autorizados El análisis me ha mostrado cuántos activos manejamos i...

 Para esta práctica he decidido aplicar el estudio a toda mi vivienda , ya que es el entorno donde se encuentran y gestionan la mayoría de mis dispositivos digitales y datos personales. Aunque solemos pensar en la seguridad informática como algo exclusivo de empresas o instituciones, en realidad la protección de la información en casa es igual de crucial . Hoy en día manejamos datos bancarios, documentos confidenciales, dispositivos conectados, redes Wi-Fi y mucho más.  Política de Seguridad de la Información – Hogar 1. Objeto y ámbito de aplicación: Esta política tiene como objetivo establecer medidas y comportamientos para proteger la información digital y física en el ámbito doméstico. 2. Activos protegidos: Dispositivos electrónicos (ordenadores, móviles, tablets, smart TV). Red Wi-Fi doméstica. Cuentas online (email, banca, plataformas educativas, redes sociales). Documentos impresos sensibles. 3. Medidas de seguridad básicas: Uso de contraseñas segu...

En esta entrada del blog vamos a conocer un concepto que forma parte de la base de todo lo digital: la codificación binaria . Puede parecer un tema muy técnico, pero lo cierto es que afecta directamente a nuestra vida diaria, incluso en campos como la criminología, donde la informática forense, el análisis de datos digitales y la protección de la información son claves.  ¿Qué es el sistema binario? El sistema binario es un sistema de numeración que solo usa dos cifras: 0 y 1 . A diferencia del sistema decimal (el que usamos a diario), que utiliza diez cifras del 0 al 9, el binario se basa únicamente en dos valores, que representan los estados básicos de los circuitos electrónicos: encendido (1) y apagado (0). Es el lenguaje que entienden los ordenadores , y por tanto, cualquier cosa que usamos digitalmente —una foto, un mensaje, un vídeo o incluso un juicio en formato digital— está codificada en binario.  ¿Cómo se convierte un número decimal en binario? El método más si...

  En esta entrada vamos a profundizar en uno de los conceptos esenciales que hemos abordado en clase: el Modelo CIA . Este modelo no solo es clave en el ámbito de la seguridad informática , sino que también tiene una gran importancia en la Criminología moderna , donde el delito digital y la protección de la información ocupan un lugar cada vez más central. Cuando escuchamos hablar del “Modelo CIA” por primera vez, muchas personas piensan automáticamente en la famosa agencia de inteligencia estadounidense. Sin embargo, en el contexto de la seguridad de la información , CIA se refiere a tres principios fundamentales que deben protegerse siempre que trabajamos con datos digitales: 1. Confidencialidad La confidencialidad hace referencia al deber de garantizar que la información solo esté accesible para las personas autorizadas . Es decir, los datos deben estar protegidos frente a accesos no deseados o no autorizados. En el ámbito criminológico, la confidencialidad puede estar rela...

 Este espacio ha sido creado como parte de la asignatura de Informática Aplicada a la Criminología , que curso en la Universidad CEU . El objetivo de esta materia es introducirnos en el mundo de la ciberseguridad , un ámbito cada vez más relevante dentro de nuestra carrera como criminólogos. En esta asignatura aprenderemos a manejar herramientas informáticas básicas, entender cómo se protegen los datos digitales y cómo se pueden prevenir delitos en entornos virtuales. También veremos cómo los criminales pueden aprovechar la tecnología y qué medidas se pueden aplicar para combatir estos delitos. Mis expectativas personales son: Comprender las bases de la seguridad de la información. Desarrollar competencias digitales aplicadas a la criminología. Reflexionar sobre cómo la tecnología afecta al comportamiento delictivo. Creo que este curso no solo será útil para adquirir conocimientos técnicos, sino también para abrir nuestra mente a los nuevos desafíos del mundo digital ...